2022-02-02 09:03:57
#Аналитика
РУКОВОДСТВО EDPB 01/2022 О ПРАВЕ ДОСТУПА19.01.2022 EDPB принял Руководство о праве доступа (ст. 15 GDPR), предоставляющее лицу право запрашивать у контролёра подтверждение, обрабатываются его персональные данные, право на доступ к ПД и иной информации.
Руководства в публичном обсуждении, т.е. не в финальной версии и любой может оставить комментарии к Руководству до 11.03.2022 на сайте EDPB.
В конце Руководств - схемы, что делать с запросами.
КЛЮЧЕВЫЕ МОМЕНТЫ Право доступа не равно другим правам, которые регулируются другими актами (напр., доступ к публичным документам).
Право доступа включает:
Подтверждение, обрабатываются ли ПД о лице,
Доступ к этим ПД и
Доступ к информации об обработке: цель, категории ПД и получатели, срок, права субъектов и гарантии при передаче в третью страну.
При анализе запроса контролер должен оценить, касается ли запрос ПД лица, делающего запрос, подпадает ли запрос под ст. 15 и есть ли другие нормы в законах о доступе.
Он должен оценить, относится ли запрос ко всем или только к некоторым ПД.
Особых требований к форме запроса нет.
Контролёр должен дать удобные для лица каналы связи, которые легко использовать.
Лицо не обязана использовать только эти каналы и может отправить запрос официальному контактному лицу.
Контролёр не обязан действовать по запросам, отправленным на случайные или неправильные адреса.
Если контролер не может идентифицировать ПД, которые относятся к лицу, он должен сообщить об этом, и может отказать в предоставлении доступа, если лицо не предоставит информацию, позволяющую идентифицировать его.
Если у контролёра есть сомнения, контролёр должен запросить информацию, чтобы подтвердить личность.
Запрос информации должен быть пропорционален типу обрабатываемых ПД, возможному ущербу и т. д., чтобы избежать чрезмерного сбора ПД.
Объем ответа на запрос может включать широкий спектр ПД:
медицинские заключения,
история покупок,
показатели кредитоспособности,
журналы активности,
поисковые действия,
псевдонимизированные данные.
Запрос не должен интерпретироваться ограниченно и может включать данные, которые могут касаться и других лиц (напр. историю общения с входящими и исходящими сообщениями).
Фактически запрос включает элементы, которые контролёр должен выполнять по ст. 13, 14 и 30 GDPR (privacy notice и ROPA), но ответ на запрос может включать более детальную и обновленную информацию, нежели ту, что находится в уведомлении и ROPA.
Если не указано иное, запрос следует понимать относящимся ко всем ПД, касающихся лица, и контролёр может попросить лицо детализировать запрос, если он обрабатывает большой объем ПД.
Контролёру придется искать ПД во всех ИТ-системах и архивах, на основе критериев поиска, которые отражают способ структурирования данных (напр. имя и номер клиента).
Предоставление ПД должно быть в краткой, прозрачной, понятной и легкодоступной форме, с использованием ясного и простого языка.
Точные требования зависят от обстоятельств обработки, а также от способности лица понять сообщение (напр., ребенок).
Если ПД - это код или другие «сырые данные», то возможно, их придется объяснить, чтобы они были понятны.
Используйте многоуровневый подход к предоставлению данных, если их много, чтобы лицу было понятнее, какие ПД к чему относятся.
Отвечайте на запрос как можно скорее и не позднее одного месяца с момента получения.
Можно продлить ещё на два месяца, но нужно об этом сообщить лицу.
Предоставлять также нужно ПД, которые готовятся удалять, незаконные и неточные ПД.
Доступ не абсолютный и может ограничиваться правами других.
Спасибо, что вы с нами. Если хотите нас поддержать, станьте нашим патроном прямо сейчас.
____________
Источник: Guidelines 01/2022 “Right of access”
358 viewsedited 06:03